IRC Wurm über MSN/Remover

[Ruby]

summer2008.zip/IRC-Worm.Win32.Agent.a

Wieder einmal verbreiten sich Würmer mit Backdoor Charakter über MSN.

Im März 2007 der Backdoor.Win32.IRCBot.aaq / BackDoor.IRC.Shadowbot, im Juni 2007 eine Variante davon: der Backdoor.Win32.IRCBot.aaq/Backdoor:W32/IRCBot.ABO, Backdoor.Win32.IRCBot.aaq

Nun eine weitere Variante:

summer2008.zip/IRC-Worm.Win32.Agent.a

Die Übermittlungs-/Verbreitungsnachricht erscheint in mehreren Sprachen:

Deutsch:
guck wie ******** Paris Hilton aussieht,
seitdem sie wieder aus dem knast ist : (
du und ich !!! ....guck : p
siehe meine fotos hihi : p
hey bitte nimm meine fotos an : o !!
ein foto mit meinem besten freund und mir : $ !!
das bin ich total nackt : o
bitte sende es niemand anderem
guck was ich im internet gefunden habe : o
jessica Alba NACKT !!

Englisch:
Look how wasted Paris Hilton is, after she got jailed : (
You and Me !!! .... look : p
Look at my photos hihi : p
Hey please accept my photos : o !!
A photo with me and my best friend : $ !!
This is me totaly naked : o
please dont send to anyone else
Look what i found on the NET : o
Jessica Alba NUDE !!

Mit dieser Nachricht werden sogenannte Bilderalben weitergereicht:

C:\WINDOWS\album39.zip
C:\WINDOWS\album84.zip
C:\WINDOWS\images091.zip
C:\WINDOWS\photo80.zip
C:\WINDOWS\photos030.zip
C:\WINDOWS\photos072.zip
C:\WINDOWS\picture56.zip
C:\WINDOWS\picture8.zip
C:\WINDOWS\pictures030.zip
C:\WINDOWS\pictures054.zip
etc..

Wenn diese zip-Dateien geöffnet werden, weil der Empfänger die Alben betrachten möchte, führt er den schädlichen Code auf seinem Rechner aus und startet den Wurm.

Ein infiziertes System erkennt man an folgenden Eintrag im HijackThis Logfile:

O21 - SSODL: printers - {B8A36B07-4FD4-41D8-BF28-806E1716790B} - notiffy.dll

Der Scan bei Virustotal am vergangenen Sonntag ergab folgendes Ergebnis:

Scan au 22 Juillet :
File photo80.scr received on 07.22.2007 18:01:05 (CET)

Antivirus Version Last Update Result
AhnLab-V3 2007.7.21.0 2007.07.20 no virus found
AntiVir 7.4.0.44 2007.07.21 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.07.20 no virus found
Avast 4.7.997.0 2007.07.22 no virus found
AVG 7.5.0.476 2007.07.21 no virus found
BitDefender 7.2 2007.07.22 Trojan.IRC.Agent.B
CAT-QuickHeal 9.00 2007.07.20 (Suspicious) - DNAScan
ClamAV devel-20070416 2007.07.22 no virus found
DrWeb 4.33 2007.07.22 no virus found
eSafe 7.0.15.0 2007.07.19 Suspicious Trojan/Worm
eTrust-Vet 30.8.3797 2007.07.20 no virus found
Ewido 4.0 2007.07.22 no virus found
FileAdvisor 1 2007.07.22 no virus found
Fortinet 2.91.0.0 2007.07.22 IRC/Agent.A!worm
F-Prot 4.3.2.48 2007.07.20 no virus found
F-Secure 6.70.13030.0 2007.07.22 IRC-Worm.Win32.Agent.a
Ikarus T3.1.1.8 2007.07.22 Backdoor.Win32.Rbot
Kaspersky 4.0.2.24 2007.07.22 IRC-Worm.Win32.Agent.a
McAfee 5079 2007.07.20 no virus found
Microsoft 1.2704 2007.07.22 no virus found
NOD32v2 2411 2007.07.21 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.07.20 no virus found
Panda 9.0.0.4 2007.07.22 Suspicious file
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.21 no virus found
Symantec 10 2007.07.22 no virus found
TheHacker 6.1.7.151 2007.07.22 no virus found
VBA32 3.12.2.1 2007.07.21 no virus found
VirusBuster 4.3.26:9 2007.07.21 no virus found
Webwasher-Gateway 6.0.1 2007.07.22 Trojan.Crypt.XPACK.Gen
Additional information
File size: 120832 bytes
MD5: e1d1e9e2b1882f2c99c6a131341dea21
SHA1: b5ba7987c7d5e15ff26be5436e674b3fac066ca8
packers: NTKrnl

Das bedeutet, dass der Wurm derzeit von folgenden Antivirus Programmen sicher erkannt wird:

AntiVir, BitDefender, eSafe, Fortinet, F-Secure, Ikarus, Kaspersky, Webwasher-Gateway und mittlerweile auch von Sophos:
summer2008.zip/IRC-Worm.Win32.Agent.a alias W32/Kik-A in einer Übersicht bei SOPHOS:

W32/Kik-A ist ein Wurm und IRC-Backdoortrojaner für die Windows-Plattform.

W32/Kik-A wird im Hintergrund ausgeführt und stellt einen Backdoorserver zur Verfügung, der Fremdzugriff auf und die Steuerung über den Computer über IRC-Kanäle ermöglicht.

• Ermöglicht Dritten den Zugriff auf den Computer
• Sendet sich an Adressen in Outlook-Adressbüchern
• Stiehlt Daten
• Lädt Code aus dem Internet herunter
• Speichert Tastenfolgen
• Installiert sich in der Registrierung

Entfernungshinweise:

1. Schritt bei Windows XP und ME

(Windows XP und ME) Das System zurückstellen:
Du kannst dein System auf einen früheren Systempunkt zurückstellen, um den ehemals sauberen Zustand wieder zu erreichen. Damit ersparst du dir vielleicht die Reinigungsarbeiten:
Start-> Alle Programme-> Zubehör-> Systemprogramme-> Systemwiederherstellung-> Computer auf ein früheren Zeitpunkt wiederherstellen-> ok-> zurückliegendes Datum wählen (Info).

2. Schritt alle Systeme

• es wird empfohlen, das AntiVirus Programm zu updaten.

• Wer diesen Wurm auf seinem System hat und keines der oben angeführten AntiVirusprogramme auf dem Rechner hat,
• sollte sich eine kostenlose Version von Bitdefender downloaden, BitDefender 8 Free Edition
• das Programm online updaten.
• Desweiteren empfehlen wir den Download von Malekal's clean.zip,
• bitte auf dem Desktop speichern und in seiner Gesamtheit in einen eigenen Ordner "Clean" entpacken
  (Windows-Tutorial).
• Nun bitte das System aus dem Netz nehmen.
• Man bleibt im normalen Modus
• scannt sein System zunächst mit Bitdefender gründlich.
• dann startet man seinen Rechner neu auf
• in den abgesicherten Modus (Tipps & Tricks/TIPP 4)
• Nun öffnet man den neuen "Clean" Ordner auf dem Desktop,
• macht einen Doppelklick auf die "clean.cmd",
• es erscheint ein schwarzes Fenster mit einem Auswahlmenu.
• Hier nun die Option 2 wählen, womit der Reinigungsprozess gestartet wird.
• Während dieser Reinigungsarbeiten sollte man nichts am Rechner machen,
• sondern warten bis der jeweilige Reinigungsprozess beendet ist.
• Dann wird der Rechner wieder aufgestartet, in den normalen Modus.
• Nun sollte das System noch mit einem Online Scan gründlich gescannt werden, um sicher zu gehen, dass alle Spuren entfernt worden sind.

3. Schritt alle Systeme
Empfohlene Online Scans:

• Bitdefender
• housecall.trendmicro
• Kaspersky Online Scanner
• Secuser

4. Schritt alle Systeme

• Desweiteren sollte die Registrierung gereinigt werden, am besten mit dem Regcleaner
• Dann wendet man ein Systemreinigungstool an, wir empfehlen den CCleaner (Crap Cleaner), entsprechend dieser Anleitung:

(Beachte: nimm bitte das Häkchen heraus bei der "Yahoo-Toolbar, sonst wird sie mitinstalliert.)
Setze Häkchen unter: "Windows", "Anwendung" und "Komponenten".
Schau die Screenshots an. Drücke auf "Run Cleaner"
Danach bitte den Rechner neu aufstarten.

(Windows XP und ME)
Die Systemwiederherstellung:
Die Funktion, Systemwiederherstellung, die normalerweise auf "an" gestellt ist, ermöglicht eine Wiederherstellung des Systems im Falle, dass es beschädigt worden ist. Wenn ein Virus, Wurm oder Trojaner ein System infiziert, erstellt die Systemwiederherstellung ein Backup des Viruses, Wurms oder Trojaners auf dem Rechner und erstellt ihn neu. Folglich muss nach der Reinigung von Malware die Systemwiederherstellung im Wechsel deaktiviert und dann wieder aktiviert werden, dazwischen wird der Rechner neu gestartet. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein.
Windows XP: bitte zur eigenen Sicherheit einen vorläufigen Systempunkt erstellen.

Anmerkung
Bei Systemen, die durch Würmer mit Backdoor Charakter kompromittiert worden sind, müssen alle auf dem System bewahrten Passworte geändert werden, da davon ausgegangen werden muss, dass alle vertrauliche Information ausspioniert worden ist.

Alternativ zu '2. Schritt alle Systeme'
empfehlen wir bei den Betriebssystemen
Windows 2K/XP/Vista
die Reinigung mit dem
Msncleaner von forospyware.com
wie weiter unten in diesem Thread und
in den Postings #2 und #3 empfohlen.
Bitte im Anschluss an die Reinigung mit dem Msncleaner
mit dem '3. Schritt' weitermachen.

-------------------------------

Es ist wichtig zu wissen, welche Infektion vorliegt, um zu entscheiden auf welche Weise das System gereinigt werden muss. Die neue Infektion unterscheidet sich von der Infektion mit dem letzten Wurm, der sich über MSN verbreitet hat, dem Trojan-Downloader.Win32.Agent.btu:

Damals lautete der Verbreitungstext:
bist du das, auf diesem Foto?
h**p://www.hothotpics.com/photo8.php
h**p://www.******.net/photo26.com
w*w.hot hotpeople.net/photo894.php

folgende Dateien wurden dabei freigesetzt:
call.exe / Dropper.Win32.Agent
services.exe / Trojan.Win32.Autoit.am

Dabei kam es dann zu einer Infektion mit dem Trojan Vundo, die entsprechend dieser Anleitung von den Systemen entfernt werden kann: VundoFix TR/Vundo Remover

-------------------------------

Sowie uns weitere Informationen vorliegen, werden wir unseren Beitrag ergänzen.

-------------------------------

Es gibt weitere Varianten dieser IRC Würmer,
die sich über MSN verbreiten:

Trojan.Dropper.Delf.HS
( Backdoor.Win32.IRCBot.acd, Trojan.MulDrop.7373, W32.SillyIRC, Backdoor:Win32/IRCbot.OP, W32/Backdoor.AZWJ )

This is a trojan which has the capabilities to drop and inject malware code into legitimate processes.

The variant having a higher spread comes with an embedded IM worm which is detected as Win32.Worm.Potos.A . It drops the worm as %system%\sysprinters.dll and then a copy of the whole package as %windir%\myalbum2007.zip.

The worm will run as a remote thread in explorer.exe. In order to infect other computers, the worm will try to fool users to download myalbum2007.zip pretending there are some pictures in the archive.

You may want to use either Bitdefender or
our attached MSNCleaner.zip to clean up your system.

Übersetzung:

Der Trojaner tropft und injiziert Malware Code in legitime Prozesse.
Er ist weiter verbreitet als die anderen Würmer und geht einher mit einem eingelaerten Win32.Worm.Potos.A Wurm. Er tropft den Wurm als %system%\sysprinters.dll und eine Kopie des gesamten Paketes als %windir%\myalbum2007.zip aufs betroffene System.

Der Wurm läuft als Hintergrundprozess in der exlorer.exe. Um andere Rechner zu infizieren, wird der Wurm User dazu bringen, das 'myalbum2007.zip' herunterzuladen, indem er vorgibt, dass sich Bilder in diesem Archiv befänden.

Sowohl Bitdefender als auch der angehängte MSNCleaner
können das befallene System reinigen.

-------------------------------

Uns liegen weitere Informationen über einen neuen IRC Wurm vor,
der seit dem 30.Juli 2007 via MSN verbreitet wird.

Einige der folgenden Dateien können auf einem betroffenen System wiedergefunden werden:

Code:

C:\WINDOWS\system32\intlprinters.exe
C:\WINDOWS\system32\libcintle2.dll

C:\WINDOWS\album62.zip
C:\WINDOWS\album77.zip
C:\WINDOWS\album83.zip
C:\WINDOWS\album86.zip
C:\WINDOWS\image017.zip
C:\WINDOWS\image029.zip
C:\WINDOWS\image035.zip
C:\WINDOWS\image038.zip
C:\WINDOWS\image047.zip
C:\WINDOWS\image050.zip
C:\WINDOWS\image053.zip
C:\WINDOWS\image074.zip
C:\WINDOWS\image077.zip
C:\WINDOWS\image08.zip
C:\WINDOWS\image083.zip
C:\WINDOWS\image086.zip
C:\WINDOWS\image089.zip
C:\WINDOWS\image098.zip
C:\WINDOWS\images0.zip
C:\WINDOWS\images12.zip
C:\WINDOWS\images51.zip
C:\WINDOWS\images84.zip
C:\WINDOWS\images87.zip
C:\WINDOWS\images90.zip
C:\WINDOWS\photo39.zip
C:\WINDOWS\photo60.zip
C:\WINDOWS\photo63.zip
C:\WINDOWS\photos2007_19.zip
C:\WINDOWS\photos2007_31.zip
C:\WINDOWS\photos2007_4.zip
C:\WINDOWS\photos2007_40.zip
C:\WINDOWS\photos2007_43.zip
C:\WINDOWS\photo_album22.zip
C:\WINDOWS\photo_album28.zip
C:\WINDOWS\photo_album40.zip
C:\WINDOWS\photo_album55.zip
C:\WINDOWS\photo_album61.zip
C:\WINDOWS\photo_album70.zip
C:\WINDOWS\photo_album88.zip

Downloade das neue MSNCleaner.zip,
das wir unserem Thread beigefügt haben,
falls du die Original URL bei forospyware.com nicht erreichen kannst: MSNCleaner.zip

-> Bitte folge unserer Anleitung, um dein System mit dem MsnCleaner.zip zu reinigen.

Führe zu deiner eigenen Sicherheit folgende Nachbereinigungsarbeiten durch:

• Scanne deinen Rechner nach der Reinigung mit dem Msncleaner mit:
• CureIt!
  bitte downloaden,
  Stelle unter Language 'deutsch' ein
  Lass das System scannen und bereinigen.

• Führe einen Online Scan durch mit:
  Bitdefender

• Lass dein System mit diesem Programm ebenfalls bereinigen.

• Scanne deinen Rechner danach mit einem der System Reinigungs Programme

(Windows XP und ME)
Die Systemwiederherstellung:
Die Funktion, Systemwiederherstellung, die normalerweise auf "an" gestellt ist, ermöglicht eine Wiederherstellung des Systems im Falle, dass es beschädigt worden ist. Wenn ein Virus, Wurm oder Trojaner ein System infiziert, erstellt die Systemwiederherstellung ein Backup des Viruses, Wurms oder Trojaners auf dem Rechner und erstellt ihn neu. Folglich muss nach der Reinigung von Malware die Systemwiederherstellung im Wechsel deaktiviert und dann wieder aktiviert werden, dazwischen wird der Rechner neu gestartet. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein. Windows XP: Bitte zur eigenen Sicherheit einen Systemwiederherstellungspunkt erstellen.

Alle Systeme: bitte den Rechner neu aufstarten.

In English:

We have got some more information about a new IRC Worm
spread via the MSN since July 30.th 2007

You will find some of the following files on your machine:

Code:

C:\WINDOWS\system32\intlprinters.exe
C:\WINDOWS\system32\libcintle2.dll

C:\WINDOWS\album62.zip
C:\WINDOWS\album77.zip
C:\WINDOWS\album83.zip
C:\WINDOWS\album86.zip
C:\WINDOWS\image017.zip
C:\WINDOWS\image029.zip
C:\WINDOWS\image035.zip
C:\WINDOWS\image038.zip
C:\WINDOWS\image047.zip
C:\WINDOWS\image050.zip
C:\WINDOWS\image053.zip
C:\WINDOWS\image074.zip
C:\WINDOWS\image077.zip
C:\WINDOWS\image08.zip
C:\WINDOWS\image083.zip
C:\WINDOWS\image086.zip
C:\WINDOWS\image089.zip
C:\WINDOWS\image098.zip
C:\WINDOWS\images0.zip
C:\WINDOWS\images12.zip
C:\WINDOWS\images51.zip
C:\WINDOWS\images84.zip
C:\WINDOWS\images87.zip
C:\WINDOWS\images90.zip
C:\WINDOWS\photo39.zip
C:\WINDOWS\photo60.zip
C:\WINDOWS\photo63.zip
C:\WINDOWS\photos2007_19.zip
C:\WINDOWS\photos2007_31.zip
C:\WINDOWS\photos2007_4.zip
C:\WINDOWS\photos2007_40.zip
C:\WINDOWS\photos2007_43.zip
C:\WINDOWS\photo_album22.zip
C:\WINDOWS\photo_album28.zip
C:\WINDOWS\photo_album40.zip
C:\WINDOWS\photo_album55.zip
C:\WINDOWS\photo_album61.zip
C:\WINDOWS\photo_album70.zip
C:\WINDOWS\photo_album88.zip

Please load down the new MSNCleaner.zip which is attached to this thread
in the case that you can't reach the Original URL of forospyware.com:
MSNCleaner.zip.

Follow our instructions, to clean up your system with the MsnCleaner.zip.

• Please go on scanning your system after the cleaning with the Msncleaner with the free version of DrWeb:
• CureIt!

• and with the Online Scan of
• Bitdefender

• Let them both go on cleaning up your system.

• Please go on, use one of these system cleaning tools.

Windows XP and ME: Turn off System Restore. Right-click My Computer. Click Properties. Click the System Restore tab. Check Turn off System Restore. Click Apply, and then click OK. Reboot. Turn System Restore Back On. Right-click My Computer. Click Properties. Click the System Restore tab. UN-Check *Turn off System Restore*. Click Apply, and then click OK. Windows XP: Please create a new System Restore Point.

All systems: Please restart your system.

Thanks a lot @ InfoSpyware

-------------------------------

Sowie uns weitere Informationen vorliegen, werden wir unseren Beitrag ergänzen.
Getting more information, we will update our postings.

-------------------------------

Sollte es weitere Fragen und/oder Unklarheiten geben, stehen wir im Forum gerne zur Verfügung.
Any questions? Please ask us.

Unsere Information ist diesen Seiten entnommen:
www.malekal.com
www.bitdefender.com
www.forospyware.com

Wir bedanken uns sehr herzlich für die Information

[Ruby]

MSN Wurm Cleaner

Für die MSN Wurm Varianten

• Quatim.Y
• W32.Mubla
• W32/IRCBot-WV
• W32/IRCBot-WB
• Backdoor.Rbot.msnmsgr
• Backdoor.Win32.IRCBot.aaq
• Backdoor.Win32.IRCBot.acd
• Backdoor.Win32.MSNMaker.ab

gibt es einen Cleaner bei unseren spanischen Kollegen http://www.forospyware.com/

Beachte bitte folgende Anleitung:

Download MsnCleaner.zip von hier, aber verwende ihn noch nicht:
http://www.forospyware.com/Msncleaner/MsnCleaner.zip
(Copy/Paste die URL in die Address Bar und verwende die Browser Funktion "Speichern als")

• boote in den abgesicherten Modus
  (abgesicherter Modus Tipps & Tricks # TIPP 4 -> bitte (*) Sicherheitshinweis beachten)
• Mach einen Doppelklick auf die MsnCleaner_eng.exe um sie zu starten.
• Klicke auf den Language Button.
• Klicke auf den Analyze Button.
• nach dem Scan öffnet sich ein Report Text
• Wenn eine Infektion gefunden wird, klicke auf den Deleted Button.
• Starte den Rechner neu auf, in den normalen Modus

• Wenn du bei uns am Forum postest, kopiere den Inhalt des C:\MsnCleaner.txt in deine nächste Antwort in deinen Thread.

Translation into English:

For the following variants of the MSN Worm

• Quatim.Y
• W32.Mubla
• W32/IRCBot-WV
• W32/IRCBot-WB
• Backdoor.Rbot.msnmsgr
• Backdoor.Win32.IRCBot.aaq
• Backdoor.Win32.IRCBot.acd
• Backdoor.Win32.MSNMaker.ab

You may want to use the MsnCleaner of http://www.forospyware.com/

Please follow these instructions:

Download MsnCleaner.zip from here, but don't use it yet.
http://www.forospyware.com/Msncleaner/MsnCleaner.zip
(Copy/Paste the URL into the address bar or use "Save Target As")

• Now reboot into Safe Mode((Safe Mode/help))
  Note: SafeBootKeyRepair (help)
• Double-click MsnCleaner_eng.exe to run it.
• Click the Language button.
• Click the Analyze button.
• A report will be created once after you finish scan.
• If it finds an infection, click the Deleted button.
• Now, please reboot back to normal mode.

• On our board 'English Help':
  Please post the contents of C:\MsnCleaner.txt in a reply to this post.

Many Thanks to INFOSpyware and to our Team Member Yourhighness for the information about the MSNCleaner.

As there are any questions you may want to ask us on English Help
Bei Unklarheiten oder Rückfragen stehen wir im Forum gerne zur Verfügung.

[Ruby]

We have got some more information
about current IRC Worms - spread via MSN
please read and follow our instructions
in the upper postings
to clean up your systems.

Uns liegen weitere Informationen
zu neuen IRC Würmern vor, die via MSN verbreitet werden.
Aufmerksames Lesen unseres Threads
kann helfen, diese Plage von den Systemen zu entfernen.

Wir empfehlen den Einsatz des MsnCleaners von forospyware.com

http://www.forospyware.com/Msncleaner/MsnCleaner.zip
(Windows 2K/XP/Vista)

Alternativ: http://sosvirus.changelog.fr/MSNFix.zip

Anleitung im gleichen Thread - Instructions in the same thread.

Lots of Thanks to ElPiedra and !aur3n7

[Ruby]

By the moment not all files of the new msn worm can be deleted with the msncleaner. There are still some files on the infected machines which can't be deleted with this cleaner untill now. We try to find out more. Your machines are still infected.

Momentan weden nicht alle Dateien des neuen MSN Wurms vom Msncleaner erfasst und entfernt. Es verbleibt ein Teil der infizierten Dateien auf dem Rechner. Die befallenen Computer sind leider noch nicht sauber. Es wird daran gearbeitet.

====================

Wir hoffen, dass der Msncleaner bald alle Dateien erfasst.
Solange dies nicht der Fall ist, verwenden wir, neben den bereits beschriebenen Reinigungsarbeiten, einen zweiten Cleaner - müssen aber auch hierbei unseren Rechner sorgfältig nachkontrollieren.

Bitte folgende Anleitung beachten:

• Downloade das MSNFix.zip
• entpacke das MSNFix.zip mit einem Zip-Programm in einen eigenen Ordner auf deinen Desktop
  (Windows-Tutorial)
• Mach einen Doppelklick auf die MSNFix.bat
• Stelle als Sprache E für Englisch ein
• Klicke auf R (Search) suchen
• Wenn eine Infektion gefunden wird, wirst du aufgefordert eine beliebige Taste zu drücken,
  damit die Reinigung beginnen kann.
• Starte den Rechner nach der Reinigung neu auf.
• Ein Report Text mit dem Ergebnis befindet sich im gleichen Ordner wie die Batch-Datei.
• Solltest du in einem Forum posten, wird der Inhalt dieser Reportdatei benötigt.

Du kannst deinen Rechner nun online scannen, mit dem Kaspersky Online Scanner, um zu überprüfen, ob es noch weitere (bereits erkannte) Infektionen auf deinem System gibt. Sollte dies der Fall sein, melde dich bitte in einem der Support-Foren, damit dir geholfen werden kann, den Rechner zu reinigen.

Wir empfehlen darüberhinaus die Kontrolle mit mindestens einem AntiRootkit Programm.

==========================

We hope that the Msncleaner will be able to delete all files soon. By the moment we use, along all other already given instructions, one more Cleaner, the MSNFix.zip. It's important to control the system after the cleaning up.

Please follow these instructions:

• Download the MSNFix.zip
• Unzip the MSNFix.zip with a zip-tool in an own folder onto your desktop
• Double-Click onto the MSNFix.bat to start it
• Use your language, you can use E for Englisch
• Use the R (Search) for search
• As an infection will be found, you are asked to enter an other taste
  to starte the cleaning
• Restart your system, when the scan/cleaning is fisnished
• A report file with the results can be found in the same folder.
• Asking help on any forum you will need this reportfile.

Please control your system with this online scan:
Kaspersky Online Scan.
As there are still (known) infections, please visit a support board that your system can be cleaned up.

Please use minimally one AntiRootkit tool to find out if there is a rootkit on your system.

==========================

2-08-2007

Letzten Meldungen zufolge
ist der Msncleaner seit gestern geupdatet
auf die derzeit im Umlauf befindlichen MSN Würmer.

We have got the information
that the Msncleaner has been updated yesterday
for to clean up the MSN Worms which are circulating by the moment.

[Ruby]

Wieder verbreitet sich eine weitere Variante des IRC Wurms über MSN im Netz:
We have the information about got another new variant of an IRC Worm, spread via MSN

MSN picture07-04.zip

Es fordert seine Leser in vielen Sprachen dazu auf, Bilder aus dem Netz herunterzuladen:
Users are asked to load down pictures from the Internet:

tiens regarde les fotos que j'ai fait avec des copains
schau nur, die Photos, die ich mit Freunden gemacht habe
look for the foto's which i have taken with my friends

so oder so ähnlich lauten die Berichte... something like that...

In einem HijackThis Logfile sieht man:
In a HijackThis Logfile you will find these entries:

• O4 - HKLM\..\Run: [MJ] C:\RECYCLER\te32.exe
• O4 - HKLM\..\Run: [Net Command Senter] C:\RECYCLER\nvscvse.exe
• O21 - SSODL: syshelps - {4A695BCA-B766-4C2B-A113-120953455559} - sysrcvr246.dll

Code:

File nvscvse.exe received on 08.06.2007 14:51:10 (CET)

Antivirus    Version    Last Update    Result
AhnLab-V3   2007.8.3.0   2007.08.06   -
AntiVir   7.4.0.57   2007.08.06   -
Authentium   4.93.8   2007.08.03   -
Avast   4.7.1029.0   2007.08.06   -
AVG   7.5.0.476   2007.08.05   -
BitDefender   7.2   2007.08.06   -
CAT-QuickHeal   9.00   2007.08.04   -
ClamAV   0.91   2007.08.06   -
DrWeb   4.33   2007.08.06   -
eSafe   7.0.15.0   2007.07.31   -
eTrust-Vet   31.1.5037   2007.08.06   -
Ewido   4.0   2007.08.06   -
FileAdvisor   1   2007.08.06   -
Fortinet   2.91.0.0   2007.08.06   -
F-Prot   4.3.2.48   2007.08.03   -
F-Secure   6.70.13030.0   2007.08.06   -
Ikarus   T3.1.1.8   2007.08.06   -
Kaspersky   4.0.2.24   2007.08.06   -
McAfee   5090   2007.08.03   -
Microsoft   1.2704   2007.08.06   -
NOD32v2   2439   2007.08.06   -
Norman   5.80.02   2007.08.06   -
Panda   9.0.0.4   2007.08.06   -
Prevx1   V2   2007.08.06   -
Rising   19.35.02.00   2007.08.06   Trojan.DL.Mnless.ajp
Sophos   4.19.0   2007.08.01   -
Sunbelt   2.2.907.0   2007.08.04   -
Symantec   10   2007.08.06   -
TheHacker   6.1.7.162   2007.08.04   -
VBA32   3.12.2.2   2007.08.04   -
VirusBuster   4.3.26:9   2007.08.05   -
Webwasher-Gateway   6.0.1   2007.08.06   -
Additional information
File size: 118784 bytes
MD5: 55d918e9a0df5d721a11f800d45ff251
SHA1: 746d398fa6d2326cb581b57d160f7792f5e35949

Quote
File te32.exe received on 08.06.2007 14:51:27 (CET)
   
Antivirus    Version    Last Update    Result
AhnLab-V3   2007.8.3.0   2007.08.06   -
AntiVir   7.4.0.57   2007.08.06   -
Authentium   4.93.8   2007.08.03   -
Avast   4.7.1029.0   2007.08.06   Win32:Agent-JBM
AVG   7.5.0.476   2007.08.05   -
BitDefender   7.2   2007.08.06   -
CAT-QuickHeal   9.00   2007.08.04   -
ClamAV   0.91   2007.08.06   -
DrWeb   4.33   2007.08.06   -
eSafe   7.0.15.0   2007.07.31   -
eTrust-Vet   31.1.5037   2007.08.06   -
Ewido   4.0   2007.08.06   -
FileAdvisor   1   2007.08.06   -
Fortinet   2.91.0.0   2007.08.06   -
F-Prot   4.3.2.48   2007.08.03   -
F-Secure   6.70.13030.0   2007.08.06   -
Ikarus   T3.1.1.8   2007.08.06   -
Kaspersky   4.0.2.24   2007.08.06   -
McAfee   5090   2007.08.03   -
Microsoft   1.2704   2007.08.06   Backdoor:Win32/Agent.HA
NOD32v2   2439   2007.08.06   -
Norman   5.80.02   2007.08.06   -
Panda   9.0.0.4   2007.08.06   -
Prevx1   V2   2007.08.06   -
Rising   19.35.02.00   2007.08.06   -
Sophos   4.19.0   2007.08.01   -
Sunbelt   2.2.907.0   2007.08.04   -
Symantec   10   2007.08.06   -
TheHacker   6.1.7.162   2007.08.04   -
VBA32   3.12.2.2   2007.08.04   -
VirusBuster   4.3.26:9   2007.08.05   -
Webwasher-Gateway   6.0.1   2007.08.06   -
Additional information
File size: 59904 bytes
MD5: 3dac51b79cd2c09acffd3edf524e79dd
SHA1: 6cc871dcc6b762df190c3967ca30084429f6d789

File picture07-04.zip received on 08.06.2007 19:03:47 (CET)
Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED
Result: 2/31 (6.46%)

Antivirus    Version    Last Update    Result
AhnLab-V3   2007.8.3.0   2007.08.06   -
AntiVir   7.4.0.57   2007.08.06   -
Authentium   4.93.8   2007.08.03   -
Avast   4.7.1029.0   2007.08.06   -
AVG   7.5.0.476   2007.08.05   -
BitDefender   7.2   2007.08.06   -
CAT-QuickHeal   9.00   2007.08.06   -
ClamAV   0.91   2007.08.06   -
DrWeb   4.33   2007.08.06   -
eSafe   7.0.15.0   2007.07.31   -
eTrust-Vet   31.1.5037   2007.08.06   -
Ewido   4.0   2007.08.06   -
FileAdvisor   1   2007.08.06   -
Fortinet   2.91.0.0   2007.08.06   -
F-Prot   4.3.2.48   2007.08.03   -
F-Secure   6.70.13030.0   2007.08.06   -
Ikarus   T3.1.1.8   2007.08.06   -
Kaspersky   4.0.2.24   2007.08.06   -
McAfee   5091   2007.08.06   -
Microsoft   1.2704   2007.08.06   -
NOD32v2   2439   2007.08.06   -
Norman   5.80.02   2007.08.06   -
Panda   9.0.0.4   2007.08.06   -
Prevx1   V2   2007.08.06   -
Rising   19.35.02.00   2007.08.06   Trojan.DL.Mnless.ajp
Sophos   4.19.0   2007.08.01   -
Sunbelt   2.2.907.0   2007.08.04   -
Symantec   10   2007.08.06   W32.Spybot.Worm
TheHacker   6.1.7.162   2007.08.04   -
VBA32   3.12.2.2   2007.08.04   -
Webwasher-Gateway   6.0.1   2007.08.06   -
Additional information
File size: 54398 bytes
MD5: c5a8dc134a42b06211044e6d1704b8fc
SHA1: 89b1c29891e38ea675e07dd593d6a6aba4d044a1

Hilfe zur Entfernung

• downloade das MSNFix.zip (von !aur3n7)
• entpacke das MSNFix.zip mit einem Zip-Programm in einen eigenen Ordner auf deinen Desktop
  (Windows-Tutorial)
• Mach einen Doppelklick auf die MSNFix.bat
• Stelle als Sprache G für German ein
• Klicke auf R (Search) suchen
• Wenn eine Infektion gefunden wird, wirst du aufgefordert eine beliebige Taste zu drücken,
  damit die Reinigung beginnen kann.
• Starte den Rechner nach der Reinigung neu auf.
• Ein Report Text mit dem Ergebnis befindet sich im gleichen Ordner wie die Batch-Datei.
• Kopiere ihren Inhalt und bewahre ihn.

Downloade eine Trial Version von Ewido (AVG Anti-Spyware(7.5)). Installiere und starte das Programm. Klicke auf Jetzt aktualisieren und starte das Update. Scanne deinen Rechner damit (Full System Scan/Kompetter System-Scan) und achte darauf, dass alles entfernt wird.

Lass dann bitte diese Online Scans auf deinem Rechner laufen:

• Bitdefender
• Panda ActiveScan
• Kaspersky Online Scanner
• Symantec Security Check
• Secuser Antivirus

Merke dir die DateiNamen/DateiPfade der gefundenen und entfernten Malware.

Information zum Umgang mit Online Scannern.
Lade den RegCleaner Version 4.3.0.780 herunter, scanne damit deine Registrierung und entferne verbliebene Spuren indem du nach den DateiNamen suchst und die DateiPfade vergleichst.

Download CCleaner (Crap Cleaner)
(Beachte: nimm bitte das Häkchen heraus bei der "Yahoo-Toolbar, sonst wird sie mitinstalliert.)
Setze Häkchen unter: "Windows", "Anwendung" und "Komponenten".
Schau die Screenshots an. Drücke auf "Run Cleaner"

Starte den Rechner neu auf.

(Windows XP und ME)
Die Systemwiederherstellung:
Die Funktion, Systemwiederherstellung, die normalerweise auf "an" gestellt ist, ermöglicht eine Wiederherstellung des Systems im Falle, dass es beschädigt worden ist. Wenn ein Virus, Wurm oder Trojaner ein System infiziert, erstellt die Systemwiederherstellung ein Backup des Viruses, Wurms oder Trojaners auf dem Rechner und erstellt ihn neu. Folglich muss nach der Reinigung von Malware die Systemwiederherstellung im Wechsel deaktiviert und dann wieder aktiviert werden, dazwischen wird der Rechner neu gestartet. Zum Schluss muss die Systemwiederherstellung aktiviert, also angestellt sein.
Windows XP: bitte zur eigenen Sicherheit einen vorläufigen Systempunkt erstellen.

Anmerkung
Bei Systemen, die durch Würmer mit Backdoor Charakter kompromittiert worden sind, müssen alle auf dem System bewahrten Passworte geändert werden, da davon ausgegangen werden muss, dass alle vertrauliche Information ausspioniert worden ist.

Sollte es weitere Spuren/Malware auf dem System geben, melde dich bitte in unserem Support-Forum.

==== English: =====

Advice to clean up your system:

• Download the MSNFix.zip(made by !aur3n7)
• Unzip the MSNFix.zip with a zip-tool in an own folder onto your desktop
• Double-Click onto the MSNFix.bat to start it
• Use your language, you can use E for Englisch
• Use the R (Search) for search
• As an infection will be found, you are asked to enter an other taste
  to starte the cleaning
• Restart your system, when the scan is fisnished
• A report file with the results can be found in the same folder.
• Please copy this reportfile and save it.

Download a free Trial Version of Ewido, don't forget to update the program. Take a Full System Scan and make sure that everything will be deleted by running the program.

Go on, scan your system online with these Online Scans:

• Bitdefender
• Panda ActiveScan
• Kaspersky Online Scanner
• Symantec Security Check
• Secuser antivirus

Have a look here for some information about Online Scanning.

Download the RegCleaner Version 4.3.0.780 to clean up your registry from the traces of the found malware. You need to look for the names of the found malware files. Delete them.

• Download the ccleaner
  (http://www.filehippo.com/download_ccleaner.html)
• install it, start it -> options -> settings -> clean up windows, applications, registry
• (quick-tour and screenshots)
• Please put a checkmark in every box as to be seen on the pictures, but NOT to the Yahoo Toolbar!
• Run the scan to clean up your system.

Restart your system.

Windows XP and ME: Turn off System Restore. Right-click My Computer. Click Properties. Click the System Restore tab. Check Turn off System Restore. Click Apply, and then click OK. Reboot. Turn System Restore Back On. Right-click My Computer. Click Properties. Click the System Restore tab. UN-Check *Turn off System Restore*. Click Apply, and then click OK. Windows XP: Please create a new System Restore Point.

You need to change all passwords saved on your system because it was managed by someone else.

If there are more problems, please visit our Support Board to help you to get your system clean.

Merci beaucoup à Malekal pour l'information.